Betalingsberichten worden bron van rijke informatie over iedere rekeninghouder (dus iedere burger op aarde) | ISO20022

Geplaatst op 28 augustus 2024 door Ellen Timmer

Financiële instellingen zijn verplicht op grond van Europese regelgeving (van internationale oorsprong) bij iedere betalingstransactie allerlei gegevens mee te sturen. Dit wordt wel de ‘travel rule’ of ‘Funds Travel Rule’ of ‘Wire Transfer Regulation‘ (Wtr) genoemd, zie mijn Wtr-blogs.

De betalingstransactiegegevens omvatten niet alleen basisgegevens, zoals het bedrag en wie de betaler en wie de ontvanger zijn.

Doordat het internationale berichtensysteem van het betalingsverkeer, beheerd door de internationale organisatie Swift [1], recent is vernieuwd, kunnen de berichten worden verrijkt met allerlei extra gegevens, die langs iedere schakel in het betalingsverkeer gaan. De vernieuwing betreft het gebruik van het ISO20022 berichtensysteem.

In het vernieuwde berichtensysteem kunnen allerlei detailgegevens worden toegevoegd, waarmee zowel het grootbedrijf als de overheid heel erg blij zijn. Door middel van ‘Purpose Codes’ worden die details toegevoegd, het betreft onder meer betaling van:

  • salaris
  • pensioen
  • energiekosten
  • gezondheidskosten, zoals de tandarts

De verplichting om de Purpose Codes te gebruiken is (nog) niet internationaal geharmoniseerd. Ieder land of gebied kan zelf beslissen of bepaalde codes verplicht zijn.

Voorbeeld: het Verenigd Koninkrijk

De Engelse nationale bank [2] publiceerde in een consultatieverslag uit 2021 [3] een illustratief overzicht van de codes die het VK heeft voorgeschreven:

(klik op het plaatje om een grotere versie te zien)

Het valt op dat er sprake is van een hoge mate van detaillering, zodat aan de hand van de uitgaven iedere burger gedetailleerd in beeld kan worden gebracht. Zo zijn er onder meer de volgende rubrieken:

  • koop van goederen of diensten
  • donaties aan goede doelen
  • gokuitgaven
  • loterijuitgaven
  • scholingsuitgaven
  • parkeerkosten
  • medische diensten
  • tandartsuitgaven
  • gasrekening
  • waterrekening
  • elektriciteitsrekening
  • telefoonrekening
  • kabel tv kosten
  • nutsvoorzieningen
  • pensioenpremie
  • verzekeringspremies, zoals voor een gezondheidsverzekering
  • betaling van een verzekeringsvordering
  • huur
  • salaris
  • pensioen
  • bijstand (‘social security benefit’)
  • werkloosheid- en arbeidsongeschiktheidsuitkering
  • kinderuitkering
  • (overige) overheidsbetalingen
  • allerlei soorten belastingen op detailniveau: inkomensbelasting, vermogensbelasting, wegenbelasting, btw

Deze rubricering is gebaseerd op het werk van internationale financiële organisaties die is terug te vinden op de ISO20022 site.

ISO20022 ExternalPurpose1Code

Voor de te gebruiken codes kan gebruik worden gemaakt van de External Code Sets die op de ISO20022 site zijn te vinden [4]. Vooral de rubriek ExternalPurpose1Code is zeer interessant met relevante subrubrieken, zoals medical met onder meer tandartskosten, zorgverzekering, ziekenhuiskosten en thuiszorg. Een andere is Salary & Benefits, met zeer veel categorieën, niet alleen salaris maar ook alimentatie, kinderbijslag en uitkeringen.
Er zijn rubrieken voor vele andere deelonderwerpen, zoals belastingen, nutsvoorzieningen en transport (inclusief bus en trein). In rubriek CR1049 worden gok- en loterijbetalingen vermeld.
Aan de hand hiervan kan een beeld worden gemaakt van iedere burger en iedere organisatie ter wereld. Het levert microdata op waar de overheid en het grootbedrijf van smullen.

Onderstaand ter illustratie wat codes uit de External Code Sets. De kolommen zijn respectievelijk: Code Set | Code Value | Code Name | Code Definition | Requester | Status | Additional Information

Enige codes uit de rubriek Salary & Benefits:

De medische codes:

De codes voor gokken en loterijen:

 

Wat schrijft Europa voor?

Ik heb nog niet kunnen vinden of Europa hier iets aan de lidstaten heeft voorgeschreven. De Europese Centrale Bank (ECB) spreekt in algemene termen over  het messaging systeem in een presentatie van december vorig jaar [5].
Aangezien Europa druk bezig is met open finance, lijkt me dat de Europese wetgever enthousiast zal zijn over de Purpose Codes. Bovendien dringt een van de vaste adviseurs van de Europese Commissie aan op gebruik van het berichtensysteem voor misdaadbestrijdingsdoeleinden (blog).

 

En wij dan? De risico’s

Niet alleen de overheid en het grootbedrijf zijn zeer verheugd over alle gegevens. Dit soort informatie is natuurlijk een goudmijn voor criminelen. Het zal me benieuwen hoe het beveiligd is en of de partijen die dit soort gegevens verwerken allen onder streng gegevensbeschermingstoezicht staan.

Een aantal jaren geleden werd bekend dat Swift ook criminelen toelaat, lees het artikel bij Follow the Money [6]. Dus er is wel werk aan de winkel.

 

Noten:

[1] Lees mijn berichten over Swift. In 2013 schreef ik over de PRISM affaire, de inhoud is nog steeds actueel.

[2] The Bank of England, site bankofengland.co.uk.

[3] Dit plaatje komt uit een consultatieverslag van oktober 2021, zie pagina 17. Zie dit bestand voor de UK Recommended Purpose Code list van juli 2022.

[4] Te vinden via de ISO 20022 site, bekijk de pagina External code sets, in de rubriek Additional Content for the Messages. Over de site: “The ISO 20022 Registration Authority (RA) is the guardian of the ISO 20022 website. (…) The RA services are provided by SWIFT SC“.

[5] ECB: Harmonised ISO 20022 data requirements for cross-border payments | CPMI Report, 13 december 2023.

[6] Lees Criminelen haken voor een prik aan bij het financiële netwerk SWIFT (betaalmuur) van Lukas Kotkamp. Ik heb er over geblogd.

Onbekend's avatar

About Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce en getagd met , , , , , , , , , , , , , , . Maak de permalink favoriet.

2 Responses to Betalingsberichten worden bron van rijke informatie over iedere rekeninghouder (dus iedere burger op aarde) | ISO20022

  1. paul duinkerken's avatar paul duinkerken schreef:
    29 augustus 2024 om 11:54

    Vraag: hangt dit samen met de PSD-richtlijn?

    Dit was bedoeld om on-line boekhoudingen te helpen? Neveneffect: dataverzamelaars (naast criminelen ook zakelijke dienstverleners bijv incassobureaus) zijn er blij mee.

    Tav burger geldt weer: met gemak offert men privacy op (doordenker!). Politici denken dat ze belangen borgen maar zetten de deur wijd open voor misbruik.

    Beantwoorden
    • Ellen Timmer's avatar Ellen Timmer schreef:
      6 september 2024 om 12:26

      Met de PSD regelgeving heeft dit niets te maken. Het is gekoppeld aan de internationale FATF-wetgeving die voorschrijft dat bij iedere betalingstransactie bepaalde gegevens in de complete keten moeten worden mee gestuurd. Doel is misdaadbestrijding en een bijverschijnsel is dat er grote gegevensbeschermingsrisico’s door ontstaan.
      De Europese PSD regelgeving (onder meer PSD2) staat daar los van. PSD2 (met rekeninginformatiediensten) is het voorstadium wat tegenwoordig ‘open finance’ of ‘open banking’ of ‘financial data access‘ heet.

      Beantwoorden

Plaats een reactie